Juridiskā uzraudzība Nr. 78 — 2024. gada decembris. 

Kādas ir datu aizsardzības perspektīvas 2025. gadā?

Jaunais gads turpinās ar pakāpenisku Eiropas Savienības "digitālās paketes" ieviešanu.bet arī jauni tiesību akti, kuru mērķis ir stiprināt personas datu aizsardzību, ņemot vērā kiberdraudu radītos izaicinājumus.

Tā kā mākslīgais intelekts kļūst arvien izplatītāks uzņēmumos, mēs varam paredzēt lēmumu atbalsta pāreju uz autonomākām sistēmām, kas atstāj mazāk vietas cilvēka spriedumiem, un šāda izmantošana rada riskus datu kvalitātes un aizsardzības ziņā.

Mākslīgā intelekta regula regulē šo jauno praksi, lai gan būs jāgaida līdz 2026. gada augustam, lai visi tās noteikumi būtu piemērojami..

Kā redzēsim tālāk sniegtajās ziņās, tās ieviešana jau ir vadlīniju priekšmets, ko apliecina nesen sniegtais Eiropas Datu aizsardzības kolēģijas (EDPB) atzinums.

Datu pārziņiem būs jāņem vērā arī Digitālo pakalpojumu regula (DPA), kas ir piemērojama kopš 17. februāra.kas uzliek jaunus pienākumus, jo īpaši attiecībā uz pārredzamību, satura moderāciju un lietotāju aizsardzību.

Saskaņā ar Francijas Datu aizsardzības speciālistu asociācijas (AFCPD) datiem, šie noteikumi rada pārklāšanos un pieprasa datu aizsardzības speciālistiem ar ievērojamām grūtībām uzturēt pārskatu, lai nodrošinātu konsekventu atbilstību. Asociācija min HR datu apstrādes piemēru, kas var mainīties no nesensitīvas uz sensitīvu kategoriju atkarībā no izmantotajām tehnoloģijām, piemēram, mākslīgā intelekta.

"Šī mijiedarbība rada fundamentālus jautājumus par juridisko saistību harmonisku pārvaldību."

Drošības ziņā Eiropas kibernoturības regula (Kibernoturības likums, CRA) stājās spēkā 2024. gada 10. decembrī, un lielākā daļa tās noteikumu būs piemērojami 2027. gadā.

CRA mērķis ir stiprināt patērētāju un uzņēmumu datu aizsardzību pret kiberdraudiem. Šis tiesību akts uzliek saistības savienoto produktu ražotājiem, izstrādātājiem un mazumtirgotājiem attiecībā uz kiberdrošības novērtējumiem un informāciju.

Tajā pašā kontekstā no 17. janvāra stāsies spēkā Eiropas regula par digitālo operacionālo noturību (Digitālās operacionālās noturības likums, DORA)..

Tas nosaka stingras prasības, lai nodrošinātu finanšu iestāžu digitālo noturību un pārvaldītu ar informācijas tehnoloģijām saistītos operacionālos riskus, jo īpaši riskus, kas saistīti ar ārējiem piegādātājiem.

Eiropas direktīva par tīklu un informācijas sistēmu drošību (NIS2) principā ir piemērojama kopš 17. oktobra, datuma, kurā tā bija jātransponē Francijas tiesību aktos.

Teksta darbības joma ir plašāka salīdzinājumā ar NIS1 direktīvu un īpaši attiecas uz infrastruktūru un vienībām, kas ir būtiskas ekonomisko un sabiedrisko darbību pareizai norisei iekšējā tirgū.

Pilnīgas atbilstības sasniegšanai ir paredzēts trīs gadu periods, taču ātri jāievieš minimums, proti, regulētās struktūras reģistrācija ANSSI, incidentu paziņošana un investīciju drošības risinājumos pierādīšana.

Tā kā transponēšanas likums vēl nav pieņemts, joprojām pastāv neskaidrības par regulēto vienību identificēšanu un konkrētajiem veicamajiem pasākumiem.

Pastāv arī zināma nenoteiktība saistībā ar vairāku Eiropas projektu laika grafiku: kā ir ar ilgstošo ePrivātuma projektu?

Lai gan Komisija savu pirmo regulas projektu publicēja 2017. gada janvārī, process vēl gaida Eiropas Parlamenta nostāju pirmajā lasījumā.

Šis teksts izraisa dzīvas diskusijas par piekrišanas principa piemērošanu sīkdatnēm un saziņas konfidencialitāti.

Jāpiemin arī Trampa prezidentūras iespējamā ietekme uz "Datu privātuma regulējumu" un plašākā nozīmē uz datu apmaiņu starp Eiropas Savienību un Amerikas Savienotajām Valstīm.

Visbeidzot, GDPR varētu tikt atjaunināta, jo īpaši attiecībā uz datu pārsūtīšanu, datu aizsardzības iestāžu (DAI) koordinētām izmeklēšanām un tās saskaņošanu ar (nākotnes) ePrivātuma regulu.

Visbeidzot, mēs esam liecinieki kolektīvas rīcības attīstībai ES: Kā mēs ziņojām pagājušajā mēnesī, NVO noyb tagad var celt kolektīvas prasības jebkurā dalībvalstī.

Pašlaik ES ir vēl 43 citas kvalificētas iestādes, tostarp Īrijas Pilsoņu brīvību padome un Somijas Datu aizsardzības ombudsmens, kurš pašlaik ir EDAK priekšsēdētājs.

Noyb norādīja, ka plāno iesniegt pirmās tiesvedības 2025. gadā.

Tiesvedības risks, kas uzņēmumiem jāuztver nopietni.

 

      

Lēmumā, kas publicēts 1. janvārī Oficiālajā Vēstnesī, CNIL pauž bažas par plānotajiem France Travail informācijas sistēmu atjauninājumiem.

2023. gada decembra likums par pilnīgu nodarbinātību paredz atjaunotu atbalsta ceļu darba meklētājiem, kas jo īpaši balstās uz datu analīzi un to koplietošanu ar daudzām reģionālām un vietējām organizācijām.

CNIL iesaka drošības pasākumus, kas pielāgoti riskiem.

CNIL gatavo GDPR sertifikāciju apakšuzņēmējiem Lai izveidotu piemērotu sistēmu, tā atklāj sabiedrisko apspriešanu līdz 28. februārim.

Sertifikācijai vajadzētu palīdzēt datu pārziņiem izvēlēties apakšuzņēmējus, "nodrošinot, ka apakšuzņēmēja veiktā apstrāde ir novērtēta kā atbilstoša CNIL atzīta standarta kritērijiem".

Preses relīzē, kas datēta ar 2024. gada 12. decembri, CNIL paziņoja, ka izdos oficiālus paziņojumus tīmekļa vietņu izdevējiem, lai tie mainītu savus sīkfailu reklāmkarogus, kas tiek uzskatīti par maldinošiem.

Iestāde atgādina lietotājiem, ka sīkfailus var ievietot tikai pēc tam, kad viņi ir devuši savu piekrišanu.

Turklāt sīkfailu noraidīšanai vajadzētu būt tikpat vienkāršai kā to pieņemšanai.

Vērts atgādināt, ka vairākas datu aizsardzības iestādes, tostarp Beļģijas iestāde, jau ir ieņēmušas stingru nostāju, pieprasot, lai abi pieņemšanas un noraidīšanas priekšlikumi būtu vienā līmenī ar vienādu redzamības pakāpi.

2024. gada 5. decembrī CNIL (Francijas Datu aizsardzības iestāde) uzlika uzņēmumam Kaspr 240 000 eiro sodu. jo īpaši par to, ka vietnē LinkedIn bija apkopota to lietotāju kontaktinformācija, kuri tomēr bija izvēlējušies ierobežot savu redzamību.

Komisija liek uzņēmumam dzēst šos datus vai, ja tas nav iespējams, ja šos datus, kuru redzamība ir ierobežota, nav iespējams atšķirt no citiem datiem, informēt lietotājus "3 mēnešu laikā par viņu datu apstrādi un iespēju iebilst pret to".

Papildus nelikumīgai kontaktinformācijas vākšanai un apstrādes pārredzamības trūkumam CNIL kritizē arī Kaspr par datu glabāšanu piecus gadus, kas tiek uzskatīts par pārmērīgu periodu profesionāļiem, kuri bieži maina darbu.

14. novembrī CNIL piesprieda telekomunikāciju uzņēmumam Orange 50 000 000 eiro sodu par reklāmu ievietošanu e-pasta iesūtnēs. un instalēja sīkfailus lietotāju ierīcēs bez viņu piekrišanas.

Uzņēmumam tika uzdots pielāgot savu praksi prasībām vai arī viņam draud papildu naudas sodi.

10. un 11. februārī Francijā notiks Mākslīgā intelekta (MI) rīcības samits.

Šajā kontekstā CNIL, Parīzes Saklē Universitāte un Kānas Normandijas Universitāte 23. janvārī pulcēs ekspertus un pētniekus, lai apspriestu veidus, kā novērst dezinformāciju, krāpšanu un privātuma pārkāpumus, vienlaikus izmantojot mākslīgo intelektu.

Gatavojoties MI samitam, 11. decembrī Francijas Mākslīgā intelekta observatorija arī organizēja semināru par MI attīstības ietekmi uz darbu un nodarbinātību.

Diskusijās īpaša uzmanība tika pievērsta izaicinājumiem, kas saistīti ar mākslīgā intelekta pieņemto lēmumu izskaidrojamību.

3. janvārī Revīzijas palāta publicēja ziņojumu par veselības aprūpes iestāžu IT drošību.

Viņa norāda, ka "2023. gadā 10% no kiberuzbrukumu upuriem Francijā bija veselības aprūpes iestādes. To ievainojamība ir jo īpaši saistīta ar to informācijas sistēmu pastiprināto savstarpējo savienojamību ar ārpasauli un hronisku investīciju trūkumu digitālajās tehnoloģijās."

Šiem uzbrukumiem var būt nopietna ietekme uz iestāžu darbību un pacientu aprūpi.

Valsts iestādes reaģēja novēloti, finansējot piecu gadu profilakses un aizsardzības programmu. Šis impulss ir jāsaglabā.

Veselības ministrija ir paudusi bažas par Doctolib lietojumprogrammas jaunās funkcijas — pakalpojuma “Veselība” — izstrādi. kas ierosina centralizēt apdrošināto personu medicīnisko informāciju.

Šķiet, ka šī funkcija kopē "My Health Space" — digitālo veselības karti, ko valsts izveidoja ar 2019. gada 24. jūlija likumu par veselības aprūpes sistēmas organizēšanu un pārveidi.

12. decembrī NVO noyb iesniedza sūdzību pret Francijas sociālo mediju platformu BeReal. uzņēmuma izmantoto "tumšo modeļu" dēļ, lai iegūtu lietotāju piekrišanu.

Atverot lietojumprogrammu, lietotājiem tiek parādīts uznirstošais logs, kurā viņiem tiek lūgts atbildēt “jā” vai “nē” uz viņu personas datu izmantošanu reklāmas nolūkos: ja lietotāji noklikšķina uz “pieņemt”, viņi vairs nekad neredzēs piekrišanas reklāmkarogu.

Tomēr, ja viņi noraida mērķauditorijas atlasi, reklāmkarogs parādīsies katru dienu, līdz viņi to pieņems.

 

Eiropas iestādes un struktūras

EDAK 18. decembrī pieņēma atzinumu par mākslīgā intelekta modeļiem. Šajā atzinumā tiek analizēts:

• Kā novērtēt un pierādīt, ka mākslīgā intelekta modelis ir anonīms;
• Vai leģitīmas intereses var būt juridiskais pamats mākslīgā intelekta modeļu apmācībai vai izmantošanai;
• Sekas, ja mākslīgā intelekta modelis tiek apmācīts, izmantojot nelikumīgi apstrādātus personas datus.

Komiteja uzskata, ka jautājums par to, vai mākslīgā intelekta modelis ir anonīms, ir jāizvērtē katrā gadījumā atsevišķi: ir jābūt praktiski neiespējamam (“ļoti maz ticamam”) (1) tieši vai netieši identificēt personas, kuru dati tika izmantoti modeļa izveidē, un (2) iegūt šos personas datus no modeļa, izmantojot vaicājumus.

Paziņojumā ir sniegts saraksts ar metodēm anonimitātes pierādīšanai.

Attiecībā uz likumīgajām interesēm atzinumā sniegtas vadlīnijas datu aizsardzības iestādēm (DAI), lai novērtētu, vai šis juridiskais pamats ir atbilstošs.

Visbeidzot, ja mākslīgā intelekta modelis ir izstrādāts no nelikumīgi apstrādātiem personas datiem, tas var ietekmēt tā ieviešanas likumību, ja vien modelis nav pienācīgi anonimizēts.

Eiropas Datu aizsardzības uzraudzītājs (EDAU) ir pieņēmis lēmumu, kurā konstatēts, ka Eiropas Komisija nelikumīgi vērsās pret Eiropas pilsoņiem, rādot viņiem reklāmas, kuru pamatā ir "sensitīvi" personas dati par viņu politiskajiem uzskatiem.

NVO noyb, kas ierosināja sūdzību, norāda, ka debašu kontekstā par tiešsaistes diskusiju kontroles noteikumu projektu ("Tērzēšanas kontrole") Eiropas Komisija identificēja Nīderlandi kā dalībvalsti, kuru tā vēlas politiski ietekmēt.

Šajā nolūkā viņa ievietoja ziņojumus vietnē Twitter/X, netieši reklamējot šo regulu liberāliem vai kreisi noskaņotiem lietotājiem.

 

Ziņas no Eiropas Savienības dalībvalstīm.

Vācu automašīnu ražotājs Volkswagen jaunā gada priekšvakarā nonāca izmeklēšanas pakļautībā pēc tam, kad plašsaziņas līdzeklis Spiegel atklāja, ka tas ir publiski nodevis vairāk nekā 800 000 transportlīdzekļu ģeolokācijas datus Eiropā.

Šī informācija ļāva uzzināt gandrīz 500 000 transportlīdzekļu atrašanās vietu ar 10 centimetru precizitāti.

Francijā, kā ziņots, skarti vairāk nekā 50 000 Volkswagen, Audi, Skoda un Seat zīmolu transportlīdzekļu.

Arī Vācijā Hamburgā bāzētam pakalpojumu sniedzējam vietējā datu aizsardzības iestāde piesprieda 900 000 eiro lielu naudas sodu par personas datu glabāšanu līdz pat pieciem gadiem pēc termiņa beigām.

APD uzskata, ka "nav pieņemami, ka digitālajās nozarēs strādājošie dalībnieki nav izstrādājuši saskaņotu dzēšanas procedūru" (izmantojot AFCDP).

Spānijā APD sankcionēja autoservisu, kas bija pievienojis savu klientu failu WhatsApp grupai, padarot 150 klientu datus (tālruņu numurus, vārdus un fotoattēlus) redzamus visiem grupas dalībniekiem.

APD konstatēja GDPR 6. panta 1. punkta pārkāpumu, kas paredz derīgu juridisko pamatu jebkurai personas datu apstrādei, un uzlika uzņēmumam 3000 eiro naudas sodu.

Spānija ir nolēmusi aizliegt “Google Workspace for Education” izmantošanu skolās.

Šis lēmums tika pieņemts, pamatojoties uz Spānijas Datu aizsardzības aģentūras (APD) ziņojumu, kurā pausts viedoklis, ka notiek "invazīva personas informācijas vākšana".

Šis ziņojums tika sagatavots pēc Izglītības ministrijas pieprasījuma.

Īrijas Datu aizsardzības komisija (DPC) 17. decembrī paziņoja, ka tā ir piespriedusi uzņēmumam Meta 251 000 000 eiro sodu par datu noplūdes nenovēršanu, kas apdraudēja miljonu Facebook lietotāju datus, un par pārkāpuma nepietiekamu dokumentēšanu.

Divas dienas pēc tam, kad EDAK publicēja savu atzinumu par mākslīgo intelektu, Itālijas datu aizsardzības iestāde 20. decembrī uzlika OpenAI 15 000 000 eiro sodu.

Viņa uzskata, ka uzņēmums izmantoja interneta lietotāju personas datus, lai apmācītu ChatGPT "bez atbilstoša juridiska pamata un pārkāpa pārredzamības principu un ar to saistītās informācijas sniegšanas saistības pret lietotājiem".

APD 2023. gada beigās uzsāktā izmeklēšana atklāj arī to, ka uzņēmums nenodrošināja atbilstošu vecuma pārbaudes sistēmu, lai novērstu lietotāju, kas jaunāki par 13 gadiem, saskarsmi ar nepiemērotu mākslīgā intelekta ģenerētu saturu.

Atvērtajam mākslīgajam intelektam būs jāuzsāk arī komunikācijas kampaņa valstī dažādos plašsaziņas līdzekļos, lai vairotu sabiedrības izpratni par ChatGPT darbību un atgādinātu par viņu tiesībām.

Vai mēs joprojām varam izmantot OpenAI modeli un ChatGPT API, lai nodrošinātu savus ģeneratīvos mākslīgā intelekta pakalpojumus?

Itālijas lēmums atstāj jautājumu atklātu, norādot, ka tas būs jāizlemj Īrijas iestādei saskaņā ar VDAR 56. panta mehānismu.

Arī Itālijas Datu aizsardzības iestāde (APD) 13. novembrī ieņēma nostāju attiecībā uz nepilngadīgo fotoattēlu publicēšanu Facebook, atgādinot, ka nepieciešama abu vecāku piekrišana.

Šajā konkrētajā gadījumā bērna, kas jaunāks par 14 gadiem, tēvs bija kopīgojis savu fotoattēlu vietnē Facebook, lai parādītu savu līdzību ar savu pusbrāli, kurš arī bija redzams fotoattēlā.

Bērna māte, šķīrusies no tēva, neveiksmīgi lūdza viņu noņemt fotoattēlu no Facebook un iesniedza sūdzību APD.

Nīderlandes varas iestādes 6. decembrī arī brīdināja Nacionālo arhīvu nepublicēt Nīderlandes kara arhīvus tiešsaistē.

Šajos dokumentos ir lietas par personām, kuras tiek turētas aizdomās par sadarbību ar okupantiem Otrā pasaules kara laikā, tostarp sensitīvi dati par personām, kuras dažkārt joprojām ir dzīvas, piemēram, par reliģiju, politisko pārliecību, veselības stāvokli vai etnisko piederību.

Lai gan tiem ir nenoliedzama vērtība, veids, kā Nacionālais arhīvs vēlas publiskot datus tiešsaistē, pārkāpj Arhīvu likumu un GDPR, norāda APD.

Tāpēc viņa aicina labāk kontrolēt datu piekļuves nosacījumus.

18. decembrī APD sodīja Netflix par to, ka tas laikā no 2018. līdz 2020. gadam pienācīgi neinformēja savus klientus par viņu datu apstrādi.

Turklāt Netflix sniegtā informācija atsevišķos punktos bija neskaidra.

Šī iemesla dēļ APD straumēšanas pakalpojumam piesprieda 4 750 000 eiro sodu.

Kopš tā laika Netflix ir atjauninājis savu paziņojumu par konfidencialitāti un uzlabojis sniegto informāciju.

Zviedrijā APD sodīja saimnieku ar 200 000 SEK (17 366 eiro) sodu par astoņpadsmit kameru izvietošanu dzīvojamās ēkas koplietošanas telpās un par neatbildēšanu uz informācijas pieprasījumu.

 

Novembrī publicētajā pētījumā “Iekštelpu atrašanās vietas, kustības un darba vietas aizņemtības izsekošana darba vietā” tiek analizētas darbinieku uzvedības uzraudzības un profilēšanas tehnoloģijas, izmantojot kustību sensorus un Wi-Fi infrastruktūru uzņēmuma telpās.

Šajā pētījumā galvenā uzmanība pievērsta potenciālajām sekām darbiniekiem Eiropā un tiek aplūkoti visizplatītākie risinājumi, ko piedāvā Cisco, Juniper, Spacewell, Locatee un citi līdzīgi tehnoloģiju nodrošinātāji.

Cisco apgalvo, ka līdz šim ir apstrādājis 17,2 triljonus "atrašanās vietas datu punktu", kas apkopoti, izmantojot vairāk nekā trīs miljonus Wi-Fi piekļuves punktu, kas uzstādīti 250 000 ēkās visā pasaulē.

Pētījumā īsumā aplūkots, kā darbinieki pretojās kustības detektoru uzstādīšanai no darba devēju puses (izmantojot AFCDP).

Pēc WhatsApp 2019. gadā uzsāktās tiesvedības Kalifornijas tiesnesis decembra beigās atzina Izraēlas uzņēmumu NSO Group, spiegprogrammatūras Pegasus izstrādātāju, par vainīgu uzlaušanā.

Šīs nozares pretinieki šo lēmumu uzskata par “vēsturisku”.

Kā sacīja WhatsApp direktors Vils Ketkārts: “NSO grupa apgalvo, ka atbildīgi kalpo valdībām, taču esam atklājuši, ka pagājušā gada maijā uzbrukumā tika vērsti vairāk nekā simts cilvēktiesību aizstāvju un žurnālistu; šiem pārkāpumiem ir jāpārtraucas.”

Decembra sākumā ASV valdība atklāja, ka Ķīna ir uzlauzusi astoņu amerikāņu operatoru (tostarp AT&T, Verizon un Lumen Technologies) tīklus.

Spiegošana attiecas uz jauno RCS formātu īsziņu sūtīšanai starp iPhone un Android viedtālruni.

FBI un Kiberdrošības un infrastruktūras drošības aģentūra (CISA) ir paziņojušas, ka hakeru kampaņa, ko Microsoft nodēvējis par Salt Typhoon, ir viens no lielākajiem pārkāpumiem vēsturē.

Hakeri ieguva piekļuvi zvanu ierakstiem, konkrētu personu tiešajām telefona sarunām un pat klasificētiem tiesas rīkojumiem.

Varas iestādes iesaka izmantot drošas un šifrētas ziņojumapmaiņas lietotnes, lai novērstu privātas saziņas nopludināšanu.